权威!官方发布CPU熔断和幽灵漏洞防范指引:附补丁下载

jopen 7年前
   <p>前不久曝光的 CPU 熔断和幽灵漏洞安全事件引发业内高度关注。</p>    <p>1 月 16 日,全国信息安全标准化技术委员,针对近期披露的 CPU 熔断(Meltdown)和幽灵(Spectre)漏洞,组织相关厂商和安全专家,编制发布了《<a href="/misc/goto?guid=4959012307809563688">网络安全实践指南—CPU 熔断和幽灵漏洞防范指引</a>》。</p>    <p style="text-align:center"><img alt="权威!官方发布CPU熔断和幽灵漏洞防范指引:附补丁下载" src="https://simg.open-open.com/show/ad8efbde9419a263bcb38cd874424ddb.jpg" /></p>    <p>据介绍,<strong>熔断漏洞利用 CPU 乱序执行技术的设计缺陷,破坏了内存隔离机制,使恶意程序可越权访问操作系统内存数据,造成敏感信息泄露。</strong></p>    <p><strong>而幽灵漏洞利用了 CPU 推测执行技术的设计缺陷,破坏了不同应用程序间的逻辑隔离,使恶意应用程序可能获取其它应用程序的私有数据,造成敏感信息泄露。</strong></p>    <p><strong>熔断漏洞设计几乎所有的 Intel CPU 和部分 ARM CPU;幽灵漏洞设计所有的 Intel CPU、AMD CPU,以及部分 ARM CPU。</strong></p>    <p>本次披露的漏洞属于芯片级漏洞,来源于硬件,需要从 CPU 架构和指令执行机理层面进行修复。主要影响和风险包括窃取内存数据、造成敏感信息泄漏等。目前尚未发现利用上述漏洞针对个人用户的直接攻击。</p>    <p>据了解,该《防范指引》面向受漏洞威胁的四类典型用户,包括云服务提供商、服务器用户、云租户、个人用户等,给出了详细的防范指引,并提供了部分厂商安全公告和补丁链接。</p>    <p>《防范指引》指出,云服务提供商和服务器用户应在参考 CPU 厂商和操作系统厂商建议的基础上,结合自身环境制定升级方案,综合考虑安全风险、性能损耗等因素,采取相关安全措施防范安全风险;</p>    <p>云租户和个人用户应及时关注云服务提供商、操作系统厂商、浏览器厂商等提供的安全补丁,及时升级,避免受到漏洞的影响。</p>    <p style="text-align:center"><img alt="权威!官方发布CPU熔断和幽灵漏洞防范指引:附补丁下载" src="https://simg.open-open.com/show/081620c78219d2339890f76291d51e86.jpg" /></p>    <p><strong>部分厂商安全公告和补丁链接:</strong></p>    <p><strong>Intel</strong></p>    <p><a href="/misc/goto?guid=4959012307933738988">https://security-center.intel.com/</a></p>    <p><a href="/misc/goto?guid=4959012308038465428">https://newsroom.intel.cn/press-kits/security-exploits-intel-products/</a></p>    <p><strong>AMD</strong></p>    <p><a href="/misc/goto?guid=4959012308139615804">http://www.amd.com/en/corporate/speculative-execution</a></p>    <p><strong>ARM</strong></p>    <p><a href="/misc/goto?guid=4959012308238388384">https://developer.arm.com/support/security-update</a></p>    <p><strong>NVIDIA</strong></p>    <p><a href="/misc/goto?guid=4959012308335680319">http://nvidia.custhelp.com/app/answers/detail/a_id/4611</a></p>    <p><strong>微软(操作系统)</strong></p>    <p><a href="/misc/goto?guid=4959012308435399167">https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002</a></p>    <p><a href="/misc/goto?guid=4959012308542039991">https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in</a></p>    <p><strong>苹果</strong></p>    <p><a href="/misc/goto?guid=4959012308642546791">https://support.apple.com/zh-cn/HT208394</a></p>    <p><strong>Android</strong></p>    <p><a href="/misc/goto?guid=4959012308750510317">https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html</a></p>    <p><a href="/misc/goto?guid=4959012308847964337">https://www.chromium.org/Home/chromium-security/ssca</a></p>    <p><a href="/misc/goto?guid=4959012157416425624">https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html</a></p>    <p><strong>微软 IE/Edge</strong></p>    <p><a href="/misc/goto?guid=4959012308435399167">https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002</a></p>    <p><strong>Firefox</strong></p>    <p><a href="/misc/goto?guid=4959012309002922193">https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/</a></p>    <p><strong>Chrome</strong></p>    <p><a href="/misc/goto?guid=4959012308847964337">https://www.chromium.org/Home/chromium-security/ssca</a></p>    <p><strong>Safari</strong></p>    <p><a href="/misc/goto?guid=4959012308642546791">https://support.apple.com/zh-cn/HT208394</a></p>    <p>来自: <a href="/misc/goto?guid=4959012309126056227" id="link_source2">驱动之家</a></p>